Supongamos que almaceno un salt value aleatorio para cada usuario. ¿Tengo que generar un nuevo valor de sal cuando se cambie la contraseña de ese usuario o utilizo el mismo valor para toda la vida de esa cuenta de usuario?¿Cambio el valor de sal cuando cambio una contraseña de usuario?
Debe cambiar la sal. La sal está diseñada para ser única (la mayor cantidad posible) para todas las instancias de contraseña.
Si utiliza la misma sal para la contraseña antigua y la nueva, un atacante que vea la antigua contraseña hash y la nueva contraseña de hash puede atacar a ambos por un costo que es menos del doble del costo de atacar a uno. Este es exactamente el tipo de cosas que la sal fue diseñada para evitar (y la sal no tiene otro uso que eso).
Por supuesto, la antigua contraseña, siendo de edad, ya no es una forma válida para entrar su sistema, pero ya que los usuarios tienden a reutilizar las contraseñas, la contraseña antigua aún puede ser útil (desde el punto de vista atacante) . En particular, el usuario puede reutilizar esa contraseña anterior cuando vuelva a cambiar su contraseña (esto es lo que hacen la mayoría de los usuarios cuando se enfrentan a un sistema que requiere un cambio de contraseña regular: alternan entre dos contraseñas).
Si la contraseña no era débil (y el atacante no conoce la sal), usar un valor de sal diferente no mejorará la seguridad de su contraseña si se cambia la contraseña, por lo que puede mantener la misma.
El propósito del valor de sal es asegurar que diferentes usuarios con la misma contraseña no tengan el mismo hash de contraseña.
De todos modos, supongamos que un atacante ha descifrado previamente la contraseña del usuario y conoce el valor de sal. Si cambia solo la contraseña, el atacante podría hacer menos cálculos para volver a romperla, porque ya conoce la sal.
Así que tal vez sea una buena idea cambiar la sal al establecer una nueva contraseña.
* up * Es posible que desee cambiar la contraseña salt y actualizar el registro del usuario –